PCI DSS

¿Quién debe cumplir con PCI DSS?

El objetivo del Estándar de Seguridad de Datos PCI (PCI DSS) es proteger los datos del titular de la tarjeta (CHD) y los datos de autenticación confidenciales (SAD) dondequiera que se procesen, almacenen o transmitan. Mantener la seguridad de los pagos es necesario para todas las organizaciones que almacenan, procesan o transmiten datos de titulares de tarjetas.

Los estándares de seguridad PCI incluyen requisitos técnicos y operativos para:

• Organizaciones que aceptan o procesan transacciones de pago
• Desarrolladores de software y fabricantes de aplicaciones y dispositivos empleados en esas transacciones

PCI 3.2.1, que se lanzó en mayo de 2018, es la versión actual a la que deben adherir las organizaciones cubiertas.

La validación del cumplimiento se realiza anual o trimestralmente, mediante un método adecuado a la designación a nivel de comerciante de la organización, que es una función del volumen anual de transacciones con tarjeta de crédito manejadas.

Resumen de los niveles de comerciantes de PCI y los requisitos de auditoría e reportes

La siguiente tabla ofrece una descripción general de los niveles comerciales de PCI, las arquitecturas de pago comunes que se emplean normalmente en cada nivel y los requisitos de reportes y auditoría de PCI correspondientes. Nota: Existen algunas diferencias sutiles en los puntos de referencia a nivel comercial entre las compañías de tarjetas de crédito, por lo que se recomienda a los lectores que consulten con sus socios asesores de PCI y QSA para obtener una evaluación precisa de los requisitos que se aplican a su organización. 

12 Requisitos para PCI DSS

PCI DSS 3.2.1 incluye 6 objetivos, 12 requisitos, 78 requisitos básicos y más de 400 procedimientos de prueba. La siguiente tabla resume los objetivos de PCI DSS y los requisitos relacionados. Para obtener detalles sobre los subrequisitos y las pruebas, los lectores deben revisar la guía de referencia de PCI DSS.

Riesgos potenciales debido al incumplimiento de PCI

PCI DSS existe desde hace más de 12 años, pero muchas organizaciones continúan enfrentando hallazgos adversos críticos durante las auditorías. Un puñado de organizaciones también continúan informando que experimentó una violación de datos incluso luego de pasar recientemente una auditoría PCI. La conclusión clave aquí es que el cumplimiento no significa necesariamente que los datos y las aplicaciones estén seguros. El cumplimiento debe considerar como la línea de base; y las organizaciones también deben centrar en identificar y mitigar los vectores de amenazas que no están necesariamente cubiertos por sus mandatos de cumplimiento.

Estos son los desafíos de cumplimiento de PCI más comunes:

1. Necesidad de gestionar el alcance y controlar el costo de las auditorías PCI. El Consejo de Seguridad de PCI publicó una guía para el alcance y la segmentación de la red. El documento ofrece un marco para ayudar a las organizaciones cubiertas a identificar los componentes CDE (entorno de datos del titular de la tarjeta), los sistemas conectados a PCI y los que afectan a la seguridad de PCI, y los componentes fuera del alcance. Desafortunadamente, ejecutar el marco de alcance y segmentación es un desafío para muchas organizaciones debido a la naturaleza cada vez más dinámica y compleja de los entornos de centros de datos y las arquitecturas de pago. Confiar en datos estáticos y puntuales y mapas de flujo de red para completar y mantener el inventario de componentes PCI combinado con prácticas inconsistentes de administración de cambios de TI y cambios de firewall conduce a errores de alcance y segmentación, lo que a su vez resulta en fallas en la evaluación de PCI y mayores costos de auditoría.
2. Incapacidad para mantener continuamente su postura de segmentación, cumplimiento de seguridad PCI. Los estándares de seguridad de PCI requieren que las organizaciones mantengan continuamente su postura de segmentación de PCI y se cercioren de que cumple continuamente con los requisitos de PCI y los requisitos básicos. Las arquitecturas dinámicas y complejas del centro de datos y de pago, combinadas con las desalineaciones entre los procesos de seguridad y las operaciones de TI, generan brechas de seguridad y control. Como resultado de las prácticas de TI, los componentes PCI a menudo terminan mezclar con componentes que no son PCI dentro de la misma zona, VLAN o subred, y sin controles adicionales para restringir el tráfico al CDE. En algunos casos, la desconexión entre los procesos de administración de cambios de TI, aprovisionamiento de recursos y administración de cambios de firewall da como resultado un inventario incorrecto de sistemas conectados a PCI dentro del alcance y reglas de firewall mal configuradas. Los procesos deficientes de gestión de vulnerabilidades y gestión de parches también impiden que una organización mantenga continuamente su postura de seguridad PCI. El Reporte de seguridad de pagos de Verizon proporciona una revisión detallada de las tendencias de seguridad de los pagos y los desafíos críticos de seguridad que las organizaciones continúan experimentando. Verizon estuvo publicando este reporte anualmente desde 2010. En el reporte de 2020, los autores concluyen que los siguientes requisitos de PCI tienen las peores brechas de control:
3. Solicitud 11. Probar sistemas y procesos de seguridad
4. Requisito 5. Proteger contra software malicioso
5. Requisito 10. Seguimiento y supervisión del acceso
6. Pregunta 12. Gestión de la seguridad
7. Pregunta 8. Autenticar el acceso
8. Requisito 1. Instalar y mantener una configuración de firewall
9. Tener redes planas. Sorprendentemente, muchas organizaciones hoy en día continúan teniendo redes planas porque son fáciles de diseñar y fáciles de operar y mantener. Sin embargo, una red plana significa que todo en el entorno (incluidos los componentes no conectados a PCI y no CDE) está dentro del alcance de PCI, lo que genera mayores costos de auditoría de PCI. Una red plana también significa que si un mal actor puede comprometer con éxito un solo host, puede atravesar fácilmente la red y acceder a las aplicaciones de pago y la base de datos de titulares de tarjetas.
10. Necesidad de cerciorar la transición al modelo operativo de trabajo remoto. A medida que las organizaciones hacen la transición a un modelo operativo de trabajo totalmente remoto, deben evaluar cómo estos cambios afectan el alcance de su entorno PCI y qué controles adicionales deben implementar para controlar el tráfico legítimo al CDE. Los ejemplos incluyen cerciorar el acceso remoto legítimo de los administradores autorizados a las aplicaciones de pago desde las computadoras portátiles de los trabajadores, cerciorar la atención al cliente y la facturación remotas, y las conexiones autorizadas en el sitio, sin contacto, entre los quioscos sin contacto orientados a Internet y las aplicaciones del centro de datos.

¿Cuáles son los desafíos de implementación común del estándar de seguridad de datos PCI?

La visibilidad en tiempo real de las cargas de trabajo, los usuarios, los dispositivos y sus conexiones y flujos es importante para:

• Garantizar que el alcance del entorno PCI esté actualizado y sea preciso, lo que a su vez significa que las reglas de segmentación y firewall se aplican correctamente.
• Proporcionar información valiosa a los análisis trimestrales de vulnerabilidades internas obligatorios y emplear esta información para mapear las posibles vías de ataque lateral asociadas con las vulnerabilidades.
• Monitorear continuamente el entorno PCI en busca de cambios en las cargas de trabajo, dispositivos, usuarios, conexiones e intentos fallidos de conexión que podrían ser indicadores de un posible ataque.
• Identificar cambios en la superficie de ataque y los vectores de amenazas que no están necesariamente cubiertos por los requisitos de cumplimiento de PCI.

La importancia de la visibilidad en tiempo real en el cumplimiento efectivo de PCI DSS

• La visibilidad en tiempo real ayuda a garantizar la precisión del alcance de PCI al monitorear continuamente todas las conexiones de los sistemas CDE, conectados a PCI y que afectan la seguridad de PCI, todos los cuales están dentro del alcance de PCI. A continuación, una organización puede aplicar la microsegmentación basada en host para aplicar las reglas de firewall aplicables para restringir el tráfico entrante y saliente al entorno PCI solo a aquellos que están "permitidos" o "legítimos". (Requisito 1)
• Mantener continuamente una segmentación efectiva y precisa del entorno PCI ayuda a controlar los costos de auditoría de PCI.
• La eliminación de las reglas de firewall mal configuradas y desactualizadas mitiga la exposición de una organización cubierta a una posible violación de datos.
• Aproveche la integración con herramientas de automatización de TI (como Chef, Puppet y Ansible, Terraform) para cerciorar de que se aprovisionan las políticas de segmentación, al mismo tiempo que se aprovisionan los recursos de la carga de trabajo y se liberan en el entorno de producción.
• La visibilidad en tiempo real ayuda a la organización a evaluar los cambios en el alcance de PCI a medida que una organización hace la transición al trabajo remoto. Ayuda a la organización a identificar brechas de control críticas y posibles vectores de ataque. Las organizaciones pueden aplicar la microsegmentación basada en host para restringir las conexiones punto a punto desde dispositivos domésticos a las computadoras portátiles del usuario remoto y para controlar las conexiones de aplicaciones del usuario al centro de datos.
• Controle las conexiones entre cargas de trabajo PCI autorizadas, usuarios y dispositivos que están dispersos en varias VLAN, zonas y subredes, y mantener al día con los cambios en las operaciones de TI, sin volver a diseñar el entorno de red.
• En entornos nativos de la nube y nuevos, las organizaciones pueden aprovechar la integración con plataformas de orquestación de contenedores para aprovisionar "políticas de segmentación" al nacer una carga de trabajo.
• Además de cumplir directamente con los requisitos de cumplimiento de PCI, una organización puede aplicar microsegmentación para reducir su superficie de ataque, obstruir el movimiento lateral y contener la rápida propagación de ransomware.

Uso de la microsegmentación basada en host para abordar sus desafíos de ciberseguridad y cumplimiento de PCI

• La visibilidad en tiempo real ayuda a garantizar la precisión del alcance de PCI al monitorear continuamente todas las conexiones de los sistemas CDE, conectados a PCI y que afectan la seguridad de PCI, todos los cuales están dentro del alcance de PCI. A continuación, una organización puede aplicar la microsegmentación basada en host para aplicar las reglas de firewall aplicables para restringir el tráfico entrante y saliente al entorno PCI solo a aquellos que están "permitidos" o "legítimos". (Requisito 1)
• Mantener continuamente una segmentación efectiva y precisa del entorno PCI ayuda a controlar los costos de auditoría de PCI.
• La eliminación de las reglas de firewall mal configuradas y desactualizadas mitiga la exposición de una organización cubierta a una posible violación de datos.
• Aproveche la integración con herramientas de automatización de TI (como Chef, Puppet y Ansible, Terraform) para cerciorar de que se aprovisionan las políticas de segmentación, al mismo tiempo que se aprovisionan los recursos de la carga de trabajo y se liberan en el entorno de producción.
• La visibilidad en tiempo real ayuda a la organización a evaluar los cambios en el alcance de PCI a medida que una organización hace la transición al trabajo remoto. Ayuda a la organización a identificar brechas de control críticas y posibles vectores de ataque. Las organizaciones pueden aplicar la microsegmentación basada en host para restringir las conexiones punto a punto desde dispositivos domésticos a las computadoras portátiles del usuario remoto y para controlar las conexiones de aplicaciones del usuario al centro de datos.
• Controle las conexiones entre cargas de trabajo PCI autorizadas, usuarios y dispositivos que están dispersos en varias VLAN, zonas y subredes, y mantener al día con los cambios en las operaciones de TI, sin volver a diseñar el entorno de red.
• En entornos nativos de la nube y nuevos, las organizaciones pueden aprovechar la integración con plataformas de orquestación de contenedores para aprovisionar "políticas de segmentación" al nacer una carga de trabajo.
• Además de cumplir directamente con los requisitos de cumplimiento de PCI, una organización puede aplicar microsegmentación para reducir su superficie de ataque, obstruir el movimiento lateral y contener la rápida propagación de ransomware.

Learn more

Comience ahora a implementar pasos para cumplir con PCI y proteger a sus clientes y su compañía.

Obtenga más información sobre cómo la microsegmentación puede ayudar a reducir el alcance de su PCI DSS y lograr el cumplimiento con nuestro documento técnico, "Tres pasos para segmentar eficazmente su cumplimiento de PCI".